Diferența dintre XSS și CSRF

Diferența cheie: XSS și CSRF sunt două tipuri de vulnerabilități ale securității calculatorului. XSS înseamnă Cross-Site Scripting. CSRF reprezintă o falsificare a solicitărilor transfrontaliere. În XSS, hackerul profită de încrederea pe care o are un utilizator pentru un anumit site web. Pe de altă parte, în CSRF, hackerul profită de încrederea unui site web pentru un anumit browser.

XSS înseamnă Cross-Site Scripting. Cross Site Scripting este un exploatare de securitate în care un hacker malware inserează scripturi într-o formă dinamică. Acesta este considerat acum cel mai frecvent vulnerabilitate de securitate care se găsește în site-uri web. În XSS, un hacker injectează un script malware pe o pagină web. Acest script este adăugat pentru a provoca o formă de vulnerabilitate față de o victimă.

Atacatorii sau hackerii folosesc JavaScript, VBScript, ActiveX, HTML sau Flash în acest scop. Odată ce atacul are succes, hacker-ul poate provoca daune în multe feluri. De exemplu, atacatorul poate deturna contul sau chiar poate schimba setările utilizatorului. Un exemplu comun de XSS poate fi văzut în cazul în care o legătură rău intenționată este folosită în acest scop. Se creează o legătură care conține un cod rău intenționat ascuns, iar utilizatorul este rugat să facă clic pe el. Dacă utilizatorul dă clic pe el, codul rău intenționat se execută pe browserul web al clientului.

Cross-site scripting atacurile pot fi în general împărțite în două tipuri -

  • Persistente - În acest tip de vulnerabilitate, datele rău intenționate sunt stocate permanent într-o bază de date și sunt accesate mai târziu și conduse de victime fără a avea nicio cunoaștere a acestora.
  • Non-persistent - În acest tip de vulnerabilitate, datele furnizate de hacker-ul rău intenționat sunt folosite la instanța respectivă fără întârziere.

CSRF reprezintă o falsificare a solicitărilor transfrontaliere. Este, de asemenea, cunoscut sub numele de atac cu un singur clic sau de sesiune de echitatie. Beneficiază de încrederea site-ului vizat pe un utilizator. Un atac rău intenționat este proiectat astfel încât un utilizator să trimită solicitări rău intenționate către site-ul țintă fără a avea cunoștință de atac. O serie de sarcini pot fi executate de către un atacator care utilizează CSRF, de exemplu, un anumit conținut poate fi postat la un mesaj de bord, stocurile pot fi tranzacționate și chiar poșta electronică poate fi trimisă prin poștă. Una dintre cele mai comune metode de a efectua un atac CSRF este utilizarea unei etichete de imagine HTML sau a unui obiect de imagine JavaScript.

Acest tip de vulnerabilitate nu se limitează numai la browsere. Scripting-ul malware poate fi făcut și printr-un document word, fișier Flash, film, etc. Unele dintre caracteristicile importante ale CSRF includ -

  • Nu este obligatoriu ca victima să fie logată, deoarece depinde de intenția atacatorului.
  • Cererile multiple pot fi generate de către atacator la site-ul țintă.
  • Funcționează extrem de bine cu alte tipuri de atacuri.
  • În general, datele de pe site-ul atacat nu pot fi citite de către atacator și acest lucru servește drept o limitare pentru CSRF.

Comparație între XSS și CSRF:

XSS

CSRF

Formular complet

Scripting pe mai multe site-uri

Cererea de falsificare a site-urilor

Definiție

În XSS, un hacker injectează un script malware de pe un site web. Acest script este adăugat pentru a provoca o formă de vulnerabilitate față de o victimă.

Beneficiază de încrederea site-ului vizat într-un utilizator. Un atac rău intenționat este conceput în așa fel încât un utilizator să trimită solicitări rău intenționate către site-ul țintă fără a avea cunoștință de atac.

Dependenţă

Injectarea datelor arbitrare prin date care nu sunt validate

Cu privire la funcționalitatea și caracteristicile browserului pentru a prelua și a executa pachetul de atac

Cerința de JavaScript

da

Nu

Condiție

Acceptarea codului rău intenționat de către site-uri

Codul rău intenționat este localizat pe site-uri terțe părți

Vulnerabilitate

Un site vulnerabil la atacurile XSS este, de asemenea, vulnerabil la atacurile CSRF

Un site care este complet protejat de tipurile de atacuri XSS este în continuare cel mai probabil vulnerabil la atacurile CSRF.

Recomandat

Articole Similare

  • diferență între: Diferența dintre săpun și detergent

    Diferența dintre săpun și detergent

    Diferența cheie: Săpunuri și detergenți, ambele produse au fost proiectate să funcționeze ca agenți de curățare sau surfactanți. Ele sunt foarte asemănătoare în contextul structurii și funcției. Sapunurile sunt alcătuite din obiecte care se găsesc în natură. Cu toate acestea, majoritatea detergenților sunt sintetici. Sapunurile sunt fr
  • diferență între: Diferența dintre procesorul DSP și braț

    Diferența dintre procesorul DSP și braț

    Diferența de bază: atât procesoarele DSP, cât și procesoarele ARM sunt tipuri de microprocesoare. Un microprocesor este un cip de silicon care conține unitatea centrală de procesare (CPU) a dispozitivului. Procesoarele ARM se bazează pe designul RISC al procesoarelor de calculator. Microprocesoarele RISC sunt de obicei folosite generic. Proces
  • diferență între: Diferența dintre Covert și Clandestine

    Diferența dintre Covert și Clandestine

    Diferența cheie: Acoperirea se referă la ceva care nu este recunoscut sau afișat în mod deschis, în timp ce clandestina se referă la ceva care este păstrat secret sau făcut secret. În plus, lucrurile care sunt clandestine sunt, de obicei, secretive deoarece nu sunt în mod obișnuit corect din punct de vedere moral. Termenii
  • diferență între: Diferența dintre Pământ și Pluto

    Diferența dintre Pământ și Pluto

    Diferența cheie: Pământul este a treia planetă din sistemul nostru solar. Este planeta pe care trăiesc oamenii, precum și alte forme de viață. Pluto este o planetă pitic în interiorul sistemului solar. Este situat dincolo de Neptun, în centura Kuiper. Pământul și Pluto sunt două planete ale sistemului nostru solar, deși au fost odată considerate a fi în orice caz. Crescând, fiecar
  • diferență între: Diferența dintre PHP și CakePHP

    Diferența dintre PHP și CakePHP

    Diferența principală: PHP este un limbaj de scripting care are implementarea principală în dezvoltarea web-ului. Cu toate acestea, poate fi folosit ca limbaj de programare cu scop general. CakePHP, pe de altă parte, este un cadru de aplicații web open source. Un cadru este o colecție de obiecte și coduri pre-scrise. CakePH
  • diferență între: Diferența dintre răzbunare și răzbunare

    Diferența dintre răzbunare și răzbunare

    Diferența cheie: În ceea ce privește contextul, răzbunarea este mai personală, în timp ce folosirea termenului răzbunare implică dreptate și onoare. Răzbunarea implică neprihănirea, în timp ce răzbunarea este murdară, slabă sau ieftină, în funcție de situația utilizată. Termenii răzbunare și răzbunare sunt strâns legați, motiv pentru care nu este de mirare că aceștia sunt deseori confuzi. De fapt, mulți oameni le f
  • diferență între: Diferența dintre Sheesham și Mango Wood

    Diferența dintre Sheesham și Mango Wood

    Diferența principală: Sheesham este în esență un tip de lemn de trandafir. Acesta provine din specia Dalbergia sissoo de copaci, care este mai cunoscută sub numele de lemn de trandafir indian. Este utilizat în mod obișnuit pentru a face mobilier, în special dulapuri. Acest lucru se datorează în principal faptului că lemnul este foarte durabil și durabil. Mango lemnu
  • diferență între: Diferența dintre un 401K și un IRA

    Diferența dintre un 401K și un IRA

    Diferența cheie: A 401K și un IRA sunt două tipuri diferite de planuri de investiții care ajută pe o salvare pentru pensie. Fiecare are un set propriu de avantaje și dezavantaje. Beneficiul ambelor tipuri de conturi este că le permite să adăpostească o parte din venitul lor ca economii care sunt protejate de impozitare până la retrageri. Cu toate a
  • diferență între: Diferența dintre whisky și bere

    Diferența dintre whisky și bere

    Diferența cheie: Whisky-ul sau whisky-ul este un tip de băuturi alcoolice distilate, obținute din orice fel de boabe de cereale fermentate. În funcție de regiunea geografică sau tipul de whisky care se face, whisky-ul poate fi făcut din orz, orz malț, secară, secară malțată, grâu și porumb. Sunt adesea

Alegerea Editorului

Diferența dintre telefonul inteligent și telefonul tactil

Diferența cheie: Smartphone-ul este un telefon mobil care funcționează pe un sistem de operare, similar unui computer mini. Telefoanele inteligente sunt în esență - un mini-calculator. Touch telefoane sunt orice telefoane care au capabilități de atingere și un ecran tactil. Un ecran tactil este un afișaj electronic electronic care permite utilizatorilor să acceseze orice caracteristică a telefonului atingându-le cu degetele sau un stilou. Telefoanele